En quelques mois, la France a profondément renforcé son dispositif de lutte contre la fraude au virement avec la mise en place de la Vérification du bénéficiaire et la création d’un fichier national des IBAN frauduleux. Une avancée structurante, qui marque le passage à une logique plus collective et coordonnée. Mais derrière cette architecture, les premiers retours du terrain en France comme à l’étranger montrent que la réalité est plus complexe : qualité des données, nouveaux usages des comptes virtuels, et déplacement de la fraude en amont viennent déjà interroger les limites du modèle.

En l’espace de quelques mois, la France a posé deux briques structurantes dans la lutte contre la fraude au virement, avec d’un côté la généralisation de la Vérification du bénéficiaire (VOP), et de l’autre la loi dite Labaronne qui institue un fichier national des IBAN frauduleux opéré par la Banque de France. Sur le papier, l’architecture semble désormais complète : vérifier en amont que le paiement part vers le bon destinataire, puis partager en aval les comptes déjà identifiés comme frauduleux afin d’éviter leur réutilisation. Cette logique, qui repose sur une combinaison de contrôle et de mutualisation, marque une évolution importante dans la manière dont les acteurs du paiement appréhendent la fraude, désormais considérée comme un risque systémique qui ne peut plus être traité établissement par établissement.

Mais cette accélération, aussi notable soit-elle (moins de neuf mois entre l’impulsion politique et la mise en place opérationnelle) ne doit pas masquer une réalité plus complexe, qui apparaît dès lors que l’on observe la manière dont ces dispositifs s’insèrent dans les flux existants, et surtout la manière dont ils sont perçus et utilisés par les acteurs opérationnels du marché, à commencer par ceux qui, comme IPID, sont directement exposés à ces problématiques de vérification des comptes à grande échelle.

Car si la France donne aujourd’hui le sentiment de rattraper son retard, elle s’inscrit en réalité dans une dynamique déjà largement engagée ailleurs, et dont les enseignements sont particulièrement éclairants. Au Royaume-Uni, la Confirmation of Payee (CoP) est en place depuis plusieurs années et constitue, sur le papier, l’équivalent de la VOP française. Pourtant, sa mise en production n’a pas seulement permis de réduire certains cas de fraude, elle a surtout mis en lumière un problème beaucoup plus structurel : l’incapacité, dans un nombre significatif de situations, à identifier de manière fiable le bénéficiaire réel derrière un compte bancaire.

Dans les faits, cela s’est traduit par des réponses “inconclusives” ou négatives renvoyées aux utilisateurs au moment du paiement, non pas parce que le compte était frauduleux, mais parce que la banque interrogée n’était pas en mesure de garantir l’identité du bénéficiaire. Selon plusieurs retours terrain, ce phénomène a été suffisamment massif pour bloquer des volumes significatifs de transactions légitimes, notamment sur des flux impliquant des PSP, des plateformes ou des structures multi-intermédiaires.

Ce point est central, car il révèle une limite que la France va inévitablement rencontrer à mesure que la VOP monte en charge : la vérification n’est pertinente que si l’information sous-jacente est fiable, disponible et accessible en temps réel, ce qui est loin d’être toujours le cas dans un écosystème où les chaînes de responsabilité se sont considérablement complexifiées.

C’est précisément sur ce terrain que les comptes virtuels, ou V-BAN, viennent profondément reconfigurer les règles du jeu. Historiquement conçus pour des usages de gestion de trésorerie interne, ces comptes ont été massivement réappropriés par les fintechs et les plateformes pour offrir des services de paiement à grande échelle, permettant de créer des milliers, voire des millions d’IBAN à destination d’utilisateurs finaux, sans pour autant que ces comptes correspondent à des comptes bancaires individuels au sens traditionnel.

Dans ce modèle, la banque qui émet l’IBAN ne connaît souvent que son client direct (une plateforme, un PSP ou un acteur BaaS) tandis que l’identité de l’utilisateur final est gérée en aval, parfois dans un autre système, parfois dans une autre juridiction, et rarement avec des mécanismes de mise à jour instantanée. Dans certains cas extrêmes, les contrôles AML ou de sanctions peuvent encore reposer sur des processus aussi rudimentaires que des fichiers transmis périodiquement, ce qui rend toute vérification en temps réel particulièrement complexe.

Dans ce contexte, lorsqu’un système comme la VOP interroge un IBAN, la réponse fournie par la banque peut être incomplète, approximative ou tout simplement indisponible, non pas par défaut de conformité, mais parce que l’architecture elle-même ne permet pas d’atteindre le niveau de granularité attendu. C’est exactement ce qui a été observé au Royaume-Uni, où certains acteurs n’étaient pas en mesure de répondre aux requêtes de Confirmation of Payee, conduisant à des interruptions de flux significatives, parfois sur des dizaines de milliers de transactions quotidiennes.

Mais au-delà de ces enjeux d’infrastructure, un autre déplacement est à l’œuvre, plus discret mais tout aussi structurant : la fraude ne se joue plus principalement au moment du paiement, mais bien en amont, dans les processus métiers eux-mêmes. Les cas de fraude les plus fréquents aujourd’hui reposent sur des mécanismes d’ingénierie sociale ou de compromission des systèmes internes, avec des modifications de RIB, des usurpations d’identité ou des manipulations de workflows qui interviennent bien avant que le paiement ne soit déclenché.

Dans ce contexte, la VOP et le FNC-RF apparaissent comme des dispositifs nécessaires mais insuffisants, car ils interviennent trop tard dans la chaîne de décision. Le véritable enjeu pour de nombreux acteurs, notamment dans l’assurance, où les fraudes aux sinistres peuvent atteindre des montants très élevés, n’est pas de bloquer un paiement frauduleux au dernier moment, mais de s’assurer que ce paiement ne soit jamais initié, ce qui suppose d’intégrer des mécanismes de vérification dès la réception d’une demande ou lors de la création d’un bénéficiaire.

Or, ces acteurs (assurances, corporates, administrations) ne disposent aujourd’hui que d’un accès limité, voire indirect, aux dispositifs réglementaires, qui restent principalement conçus pour les banques et les établissements de paiement. Cette situation crée une forme de décalage entre les zones de risque réelles et les outils disponibles, poussant certains acteurs à développer des solutions alternatives, notamment des services de VOP “non réglementaires”, capables d’intervenir plus tôt dans les flux et de répondre à des cas d’usage spécifiques.

Ce décalage se traduit concrètement par une montée en puissance des demandes en dehors du cadre strictement bancaire. De nombreuses organisations cherchent aujourd’hui à intégrer des mécanismes de vérification des comptes bien en amont du paiement, que ce soit dans les systèmes de gestion des sinistres, les plateformes de paiement ou les processus de validation interne, afin de réduire leur exposition à la fraude avant même que les flux financiers ne soient engagés.

Cette dynamique est d’autant plus marquée que la fraude elle-même continue d’évoluer rapidement, avec une explosion des cas liés à l’interception de RIB et à la compromission des données, certains acteurs évoquant des hausses de plusieurs centaines de pourcents sur certains types d’attaques. Dans ce contexte, la VOP a eu un effet inattendu : en rendant visible la possibilité de vérifier un IBAN, elle a suscité une prise de conscience plus large des capacités offertes par ce type de technologie, bien au-delà du seul cadre réglementaire.

Enfin, au moment même où la France met en place son dispositif national, une autre initiative avance à l’échelle européenne, avec le projet FEDRA porté par l’European Payments Council, qui vise à créer une base de données similaire pour le partage d’informations sur les comptes frauduleux. Si cette démarche répond à une logique évidente, la fraude étant par nature transfrontalière, elle fait également émerger un risque bien connu dans le secteur des paiements : celui de la duplication des infrastructures.

Pour les établissements présents dans plusieurs pays, cela pourrait se traduire par la nécessité de gérer plusieurs bases de données aux logiques proches mais aux formats légèrement différents, avec des périmètres distincts et des niveaux d’intégration variables. Ce type de situation pourrait conduire à des incohérences de données, avec des IBAN identifiés comme frauduleux dans une base mais pas dans une autre, ou des différences dans la manière dont les informations sont mises à jour et exploitées.

Ce risque de fragmentation est d’autant plus critique que la base européenne pourrait, dans un premier temps, être principalement utilisée par les grandes banques, laissant de côté des acteurs plus locaux ou spécialisés, ce qui recréerait une forme de déséquilibre dans l’accès à l’information.

Au final, la France a incontestablement franchi une étape importante en structurant sa réponse à la fraude au virement, en posant les bases d’une infrastructure collective qui rompt avec la logique historique de silos. Mais cette évolution ne constitue qu’un point de départ, car elle repose encore largement sur une vision du paiement comme point de contrôle central, alors même que les enjeux se déplacent progressivement vers des logiques d’orchestration du risque à l’échelle de l’ensemble du cycle transactionnel.

La prochaine phase ne sera donc pas seulement réglementaire, mais profondément opérationnelle, avec un enjeu clair : réussir à intégrer ces mécanismes de vérification en amont des flux, à ouvrir leur accès à un écosystème plus large que le seul secteur bancaire, et à garantir leur interopérabilité à l’échelle européenne. Autrement dit, passer d’une logique de sécurisation du paiement à une logique beaucoup plus ambitieuse, celle d’une infrastructure de confiance capable d’accompagner l’ensemble des usages, des systèmes métiers jusqu’à l’exécution finale des transactions.